Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Docker 03.06.2026 · 3 min Lesezeit

Miasma-Supply-Chain-Angriff: Red-Hat-npm-Pakete mit Credential-Stealer kompromittiert

Wiz Research deckt einen massiven Supply-Chain-Angriff auf npm-Pakete der @redhat-cloud-services-Namespace auf. Die Malware Miasma stiehlt Cloud-Zugangsdaten, GitHub-Token und SSH-Schlüssel und kann Heimverzeichnisse löschen. Betroffene Organisationen müssen sofort alle Credentials rotieren.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Warn-Infografik zum Miasma-Supply-Chain-Angriff mit kompromittierten Red-Hat-npm-Paketen, Diebstahl von Zugangsdaten und Geheimnissen auf Entwicklerrechnern sowie möglicher Ausbreitung über CI/CD- und Softwarelieferketten.

Am 1. Juni 2026 hat Wiz Research einen umfangreichen Supply-Chain-Angriff auf npm-Pakete der @redhat-cloud-services-Namespace öffentlich gemacht. Über das kompromittierte GitHub-Konto eines Red-Hat-Mitarbeiters wurden mindestens 32 Paket-Releases mit bösartigen preinstall-Skripten versehen. Die als Miasma: The Spreading Blight bezeichnete Schadsoftware ist eine Weiterentwicklung der Mini-Shai-Hulud-Familie und stiehlt Cloud-Anmeldedaten, GitHub-Token, SSH-Schlüssel sowie Kubernetes-Konfigurationen. Die Schwachstelle wird mit einem CVSS-Wert von 9.3 (kritisch, CVSS v4.0) bewertet und gilt mit dem Exploit-Status Attacked als aktiv ausgenutzt.

Was ist passiert

Die betroffenen Pakete verzeichnen durchschnittlich rund 80.000 wöchentliche Downloads, womit die potenzielle Reichweite des Angriffs erheblich ist. Die injizierte Payload ist etwa 4,2 MB groß, stark obfuskiert und nutzt preinstall-Hooks, die vor jeder Ausführung von npm install automatisch starten. Auf diese Weise gelangt die Schadsoftware bereits während der Installation auf das System, ohne dass das eigentliche Paket aktiv eingebunden werden muss.

Eine neuere Variante sammelt zusätzlich GCP- und Azure-Cloud-Identitäten und erweitert damit den ursprünglichen Fokus auf AWS-Umgebungen. Besonders kritisch ist das Modul gh-token-monitor: Es überwacht die Gültigkeit gestohlener GitHub-Token und kann bei einer Token-Revokation Heimverzeichnisse löschen, was die Schadsoftware um eine destruktive Komponente ergänzt. Zur Persistenz richtet Miasma Systemd-Services unter Linux sowie LaunchAgents unter macOS ein und injiziert sich in Konfigurationen von KI-Tools wie Claude, Copilot und VS Code.

Hinweis zur Faktenlage: Quellen nennen für die kompromittierten Versionen teils 32 Paket-Releases, teils bis zu 96 Versionen. Diese Angaben ergänzen sich, da 32 Pakete in insgesamt rund 96 Versionen betroffen sind. Auch die Download-Zahlen (rund 80.000 bis 117.000 wöchentlich) und die Payload-Größe (4,2 MB obfuskiert, zusätzlich ein nachgeladener Credential-Stealer von etwa 620 KB) variieren je nach Messzeitpunkt und Mehrstufen-Ansatz.

Bin ich betroffen?

Betroffen sind npm-Pakete der @redhat-cloud-services-Namespace, darunter vulnerabilities-client, sources-client, rbac-client, topological-inventory-client und frontend-components bis etwa Version 7.7.2. Gefährdet sind alle Systeme, auf denen diese Pakete installiert oder per npm install verarbeitet wurden, sowie sämtliche dort verfügbaren Zugangsdaten: GitHub-Token, AWS-, GCP- und Azure-IAM-Keys, Kubernetes-Konfigurationen, Vault-Token und SSH-Schlüssel.

Zur Prüfung sollten Lockfiles auf entsprechende Abhängigkeiten kontrolliert werden:

grep -r "@redhat-cloud-services" package-lock.json yarn.lock pnpm-lock.yaml

Zusätzlich empfiehlt sich eine Suche auf GitHub nach verdächtigen Repositories mit der Beschreibung Miasma: The Spreading Blight sowie eine Prüfung infizierter Systeme auf Persistenz-Komponenten wie kitty-monitor.service (Linux) und com.user.kitty-monitor.plist (macOS).

Wie behebe ich das?

Organisationen mit betroffenen Abhängigkeiten sollten folgende Schritte umgehend umsetzen:

  1. npm-Lockfiles auf @redhat-cloud-services-Abhängigkeiten prüfen.
  2. Abhängigkeiten auf sichere Versionen pinnen und neu installieren, ohne Skripte auszuführen:
npm install --ignore-scripts
  1. Alle Anmeldedaten als kompromittiert behandeln und rotieren: npm-Token, GitHub-Credentials, Cloud-IAM-Keys (AWS, GCP, Azure), Kubeconfig, Vault-Token, SSH-Schlüssel und .env-Dateien.
  2. GitHub nach verdächtigen Repositories mit der Beschreibung Miasma: The Spreading Blight durchsuchen.
  3. Branch-Protection-Rules und enge OIDC-Vertrauensgrenzen einführen sowie Provenance-Verifikation mit Verhaltenschecks kombinieren.
  4. Infizierte Systeme auf Persistenz-Komponenten (kitty-monitor.service, com.user.kitty-monitor.plist) prüfen und bereinigen.

Was bedeutet das für Unternehmen?

Der Vorfall ist als kritisch einzustufen, da er eine vollständige Supply-Chain-Kompromittierung mit Zugriff auf Cloud-Infrastruktur, Anmeldedaten und Code-Repositories ermöglicht. Organisationen mit @redhat-cloud-services-Abhängigkeiten müssen sofort alle Credentials rotieren und ihre Systeme prüfen. Wegen der destruktiven Malware-Module droht zudem Datenverlust, weshalb Incident Response, Forensik und eine Neubewertung sämtlicher Cloud-Zugriffe erforderlich sind.

Die Wahrscheinlichkeit für laterale Bewegung und Persistenz in kritischen Systemen ist hoch. Der Angriff verdeutlicht erneut, dass Provenance-Prüfungen allein nicht ausreichen und um Verhaltensanalysen sowie strikte Vertrauensgrenzen ergänzt werden müssen.

Quellen

Recherche-Quellen: Wiz Research Blog, The Hacker News, Snyk, The Register, BleepingComputer, Aikido, Orca Security, JFrog Security Research, Mend.io.

Verwandt

Weiter lesen

Alle Artikel →
Netzwerkkabel an einem Server-Switch als Symbol für DNS- und Mailserver-Konfiguration
02.06.2026 ·12 min

Traefik als Docker-Reverse-Proxy mit automatischem HTTPS

So richtest du Traefik per Docker Compose als Reverse-Proxy mit automatischem Let's-Encrypt-HTTPS ein: mit copy-paste-fertiger compose.yaml, Docker-Auto-Discovery über Container-Labels, ACME-Resolver (HTTP-01 und DNS-01), abgesichertem Dashboard, Middlewares sowie Update- und Backup-Workflow.
Infografik zur richtigen Nutzung von Docker-Netzwerken und Volumes, mit Container-Kommunikation über Bridge-Netzwerke, isolierten Diensten, persistenten Daten und benannten Volumes.
02.06.2026 ·12 min

Docker-Netzwerke und Volumes richtig nutzen

Container finden sich nicht und Daten sind nach dem Neustart weg? Diese Anleitung zeigt Schritt für Schritt, wie du Docker-Netzwerke und Volumes richtig nutzt: user-defined Bridge mit DNS, Ports veröffentlichen vs. interne Kommunikation, Named Volumes vs. Bind-Mounts, Backup per tar, UID/GID-Fallen.
Infografik zu Docker Compose für den Aufbau von Multi-Container-Stacks, mit docker-compose.yml, mehreren Services, Netzwerken, Volumes, Abhängigkeiten und gemeinsam gestarteten Containern.
02.06.2026 ·11 min

Docker Compose: Multi-Container-Stacks aufbauen

Mit Docker Compose beschreibst du einen kompletten Multi-Container-Stack deklarativ in einer compose.yaml und steuerst ihn mit wenigen Befehlen. Diese Anleitung zeigt dir Compose-Datei, Kernbefehle, .env-Variablen, einen Beispiel-Stack aus Web-App und Datenbank sowie den Update-Workflow.